RGPD et IA en PME : ce que votre DPO doit savoir
RGPD et IA en PME : ce que votre DPO doit savoir
Vos commerciaux utilisent ChatGPT pour rédiger des emails. Votre service client teste un chatbot. Votre RH explore des outils de tri automatique de CV. L'IA s'infiltre dans votre entreprise, avec ou sans votre accord. Et avec elle, des risques juridiques que la plupart des PME sous-estiment.
Ce guide fait le point sur les obligations légales concrètes qui s'appliquent aux PME utilisant l'IA, sans jargon juridique inutile.
L'IA et les données personnelles : pourquoi c'est un sujet critique
L'intelligence artificielle fonctionne grâce aux données. Et parmi ces données, il y a souvent des données personnelles : noms de clients, adresses email, historiques d'achat, données RH. Dès qu'une IA traite des données personnelles, le RGPD s'applique.
Les 3 situations à risque les plus courantes en PME
1. L'utilisation non encadrée de ChatGPT et outils similaires
Quand un collaborateur copie-colle un email client dans ChatGPT pour obtenir une reformulation, il transfère des données personnelles vers un serveur américain. Sans encadrement, c'est une violation du RGPD.
Ce que dit la loi : le transfert de données personnelles hors UE est encadré par des clauses contractuelles types. OpenAI et les principaux fournisseurs proposent des offres entreprise conformes (ChatGPT Enterprise, Microsoft Copilot) — mais pas les versions gratuites grand public.
L'action concrète : interdire l'usage des versions gratuites pour tout traitement impliquant des données clients, salariés ou fournisseurs. Souscrire aux versions entreprise conformes RGPD.
2. Les outils d'analyse prédictive et de scoring
Vous utilisez un outil qui prédit quels clients risquent de partir ? Qui attribue un score de solvabilité aux prospects ? Qui classe automatiquement les candidatures ? Toute décision automatisée ayant un impact significatif sur une personne est soumise à des obligations spécifiques.
Ce que dit la loi (Article 22 RGPD) : les personnes concernées ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, et le droit d'obtenir une intervention humaine.
L'action concrète : maintenir systématiquement une validation humaine dans les processus de décision assistés par l'IA. Documenter la logique de l'algorithme et les critères utilisés.
3. La formation d'une IA sur vos données internes
Certains outils d'IA "apprennent" à partir des données que vous leur fournissez. Si ces données contiennent des informations personnelles, vous devez vous assurer que le traitement est licite et que les personnes concernées en sont informées.
L'action concrète : vérifier les conditions d'utilisation de chaque outil d'IA. Les données utilisées pour l'entraînement doivent être anonymisées. Privilégier les outils qui garantissent que vos données ne servent pas à entraîner leurs modèles.
L'AI Act européen : ce qui change pour les PME
Le règlement européen sur l'intelligence artificielle (AI Act), entré en vigueur progressivement depuis 2024, introduit de nouvelles obligations selon le niveau de risque de l'IA utilisée.
Les 4 niveaux de risque
| Niveau | Exemples | Obligations pour votre PME |
|---|---|---|
| Risque inacceptable | Notation sociale, manipulation subliminale | Interdit — vous ne pouvez pas utiliser ces systèmes |
| Risque élevé | Tri de CV automatisé, scoring crédit, surveillance des salariés | Évaluation de conformité obligatoire, documentation, supervision humaine |
| Risque limité | Chatbots, génération de contenu | Obligation de transparence (informer que c'est une IA) |
| Risque minimal | Filtres anti-spam, correcteurs orthographiques, recommandations produits | Pas d'obligation spécifique |
La bonne nouvelle pour les PME : la grande majorité des usages d'IA en entreprise relèvent du risque limité ou minimal. L'essentiel est d'identifier les cas d'usage à risque élevé (principalement en RH et en relation client) et de les traiter avec une attention particulière.
Calendrier d'application
- Février 2025 : interdiction des IA à risque inacceptable
- Août 2025 : obligations pour les IA à usage général (ChatGPT, Claude, etc.)
- Août 2026 : obligations complètes pour les IA à haut risque
Vous avez encore le temps de vous mettre en conformité, mais le travail de cartographie de vos usages doit commencer maintenant.
Les 7 bonnes pratiques pour une PME
1. Cartographier vos usages d'IA
Listez tous les outils d'IA utilisés dans votre entreprise — y compris les usages "sauvages" de vos collaborateurs. Pour chaque outil, identifiez : quelles données sont traitées, où sont-elles hébergées, qui y a accès.
2. Mettre à jour votre registre des traitements
Le RGPD exige que chaque traitement de données soit documenté. L'utilisation d'outils d'IA constitue de nouveaux traitements à ajouter à votre registre. Incluez la finalité, la base légale, les catégories de données et les éventuels transferts hors UE.
3. Informer les personnes concernées
Vos clients, salariés et partenaires doivent savoir que leurs données sont traitées par des outils d'IA. Mettez à jour votre politique de confidentialité et vos mentions d'information. Si vous utilisez un chatbot, indiquez clairement que l'interlocuteur est une IA.
4. Sécuriser les accès
Tous les collaborateurs n'ont pas besoin d'accéder à tous les outils d'IA avec toutes les données. Appliquez le principe du moindre privilège : chaque personne n'accède qu'aux données nécessaires à sa mission.
5. Former vos équipes
La première faille de sécurité, c'est l'humain. Formez vos collaborateurs aux bons réflexes : ne pas copier de données sensibles dans des outils IA non approuvés, ne pas partager de fichiers clients sans vérification, signaler les anomalies.
6. Choisir des outils conformes
Privilégiez les fournisseurs qui offrent :
- Un hébergement des données en France ou en UE
- Un engagement contractuel de non-utilisation des données pour l'entraînement
- Des certifications de sécurité (ISO 27001, SOC 2)
- Un contrat de sous-traitance RGPD (DPA) clair et complet
7. Nommer un référent IA
Même si la désignation d'un DPO n'est pas obligatoire pour toutes les PME, nommer un référent interne chargé de piloter les sujets IA et conformité est une bonne pratique. Cette personne sera l'interlocuteur unique pour les questions d'usage, de sécurité et de conformité.
Check-list de conformité IA pour PME
- ✅ Inventaire de tous les outils d'IA utilisés dans l'entreprise
- ✅ Registre des traitements mis à jour avec les traitements IA
- ✅ Politique de confidentialité actualisée
- ✅ Charte d'utilisation de l'IA diffusée aux collaborateurs
- ✅ Versions entreprise (conformes RGPD) pour les outils IA grand public
- ✅ Hébergement des données en France/UE vérifié
- ✅ Supervision humaine maintenue pour les décisions à impact significatif
- ✅ Formation des équipes aux bonnes pratiques
- ✅ Référent IA nommé
Ne pas avoir peur, mais être préparé
L'IA est un formidable levier de productivité pour les PME. Le cadre réglementaire n'est pas là pour freiner l'innovation, mais pour protéger les personnes et instaurer la confiance. Une PME qui intègre l'IA de manière responsable se différencie positivement auprès de ses clients, de ses partenaires et de ses collaborateurs.
Le vrai risque n'est pas d'utiliser l'IA. C'est de l'utiliser sans cadre, sans contrôle et sans formation. Avec les bonnes pratiques en place, votre PME peut exploiter pleinement le potentiel de l'IA tout en restant parfaitement en conformité.
Olivier Lacombe
Consultant
Consultant en transformation digitale, j'accompagne les dirigeants de PME et ETI en Occitanie dans leurs projets de digitalisation : audit, data, cloud, IA et automatisation.
